CVE-2025-34061: act 工具工作流命令无条件处理漏洞 漏洞概述 工具无条件处理已弃用的 和 工作流命令,而 GitHub Actions 已于 2020 年 10 月禁用这些命令(CVE-2020-15228)。当工作流步骤将不受信任的数据回显到 stdout 时,攻击者可注入这些命令来设置任意环境变量或修改后续步骤的 PATH,使 的安全性低于 GitHub Actions。 影响范围 根本原因:代码中未检查 环境变量,该字符串在代码库中完全不存在。 POC 代码 Step 1 - 创建工作流 ( ) Step 2 - 恶意事件载荷 ( ) Step 3 - 运行命令 攻击场景 影响 任意代码执行:通过 、 、 、 、 等环境变量 PATH 劫持:攻击者控制的目录被前置到 PATH,劫持后续命令 权限提升:仅记录不受信任数据的步骤会危及所有后续步骤 供应链风险:在 GitHub Actions 上安全的工作流在本地用 运行时变得可利用 修复方案 添加与 GitHub Actions 行为一致的检查: 修复特点:向后兼容的最低限度修复,真正需要这些弃用命令的用户可通过 选择启用,与 GitHub 的做法一致。